[BMZCTF-pwn] 12-csaw-ctf-2016-quals hungman

这个题猜还是2.23 （都不打算作了，这上边的题都没有远程环境，而且这些好像作过了）

这是个懵字游戏数据结构是这样的：

chunk0 写输入的名字最大0xf8(可以小)程序记录：4字节记录，4字节名字长度，8字节名字chunk0的指针和名字一样长的随机数

先输入名字，然后行成随机数，然后等输入字符，如果有相同就计分，一共26个全输上怎么也能相同了，当超过最高记录就可修改名字（这里有溢出）

      puts("High score! change name?");
      __isoc99_scanf(" %c", &v3);
      if ( v3 == 121 )
      {
        s = malloc(0xF8uLL);
        memset(s, 0, 0xF8uLL);
        v8 = read(0, s, 0xF8uLL);
        *(_DWORD *)(a1 + 4) = v8;
        v14 = strchr((const char *)s, 10);
        if ( v14 )
          *v14 = 0;
        memcpy(*(void **)(a1 + 8), s, v8);  //名字长度小于F8时，可输入F8溢出到记录
        free(s);

这个溢出控制到指针就好办了

先溢出将指针写为got表的一个地址 ，后边的输出会输出值，这样就得到libc地址。

问题是写哪个，根据后边的函数调用可以用snprintf和strchr,看了下原来的用的是libc_start_main

strchr就在这里用一次，先写到这泄露libc再改为system,下次输入的时候输入/bin/sh

写libc_start_main的话这后边是gmon_start和memcpy 在这里写入/bin/sh,0,system实际上用system覆盖到memcpy在执行memcpy里参数正好是/bin/sh（这个比较巧）

如果用snprintf也可以恢复整个got表然后把/bin/sh写到602100

printf的话，没试写one_gadget也许也行